CACHATTO COLUMNカチャット コラム

VPNのセキュリティリスクとは?その対策と事故事例を紹介

Facebookアイコン Twitterアイコン

テレワークが普及するにつれて、セキュリティのためにVPNを導入する企業が増えています。VPNは仮想の専用線で、安全なリモートアクセスを確立できる技術だとされているからです。しかし実際には、VPNの脆弱性をついたサイバー攻撃も多発しており、VPNを使っていても被害を受ける場合も多いようです。
今回は、VPNの概要、VPNの利用に伴うセキュリティリスク、セキュリティを強化する対策などを紹介します。

VPNのセキュリティリスクとは?その対策と事故事例を紹介

目次

  1. VPNとは
  2. VPN利用に伴うセキュリティリスクと事例
  3. VPNの安全性を高めるためのセキュリティ対策
  4. VPNを安全に利用するためには、セキュリティ対策を確実に行おう

VPNとは

VPN(Virtual Private Network)は、「仮想専用線」とも呼ばれています。インターネット上に仮想的な専用ネットワークを設け、安全なルートを確保してデータのやりとりを行う通信方法です。テレワークが普及するとともに、VPNの利用も増えてきました。ここでは、VPNの種類や仕組みについて解説します。

VPNの種類

VPNは接続方法によって4種類に分けられ、以下のようなメリットとデメリットがあります。

  • インターネットVPN
    接続方法:インターネット回線上に仮想の専用回線を構築する。
    メリット:インターネット環境があれば利用可能。物理的な回線は不要なので初期投資を抑えられる。
    デメリット:回線によって速度や品質が異なること、ほかの接続方法よりもセキュリティリスクが高い。
  • エントリーVPN
    接続方法:通信会社が提供する閉域網(クローズドネットワーク)を利用した仮想専用線を利用する。
    メリット:特定の人しか利用できないので安全性が高く、比較的低コスト。
    デメリット:回線によって速度や品質が異なる。
  • IP-VPN
    接続方法:通信会社が提供している閉域網を利用する。
    メリット:契約者のみが利用できるため、安全性が高く暗号化も不要で、回線速度や品質も保証されている。
    デメリット:プロトコルやネットワーク設定に制限がある。
  • 広域イーサネット
    接続方法:通信業者が提供するイーサネット専用線の閉域網のレイヤー2を利用する。
    メリット:ネットワークを自由にカスタマイズできる。
    デメリット:通信帯域が狭い、設定箇所が多くて煩雑、コストがかかるなど。

VPNの種類について詳しくは、以下の記事をご参照ください。

関連記事 リモートアクセスとVPNの違いとは?VPNの種類や構築する際の流れを解説

リモートアクセスとVPNの違いとは?VPNの種類や構築する際の流れを解説

インターネットVPNとその他の仕組みの違い

インターネットVPNは、VPNとインターネットとを同時に利用できるのが特徴で、安価で使いやすいですが、セキュリティ上のリスクが高くなります。

エントリーVPN、IP-VPN、広域イーサネットは、閉域網を利用するため、セキュリティ上のリスクを抑えられます。一方で、設置や設定に手間とコストがかかります。また、VPNとインターネットとを同時に使うことはできません。

VPNを構築する流れ

ほかのリモートアクセス方法とは異なり、VPNを構築するには、対応するルーターやサーバーなどのハードウェアを設置する必要があります。

  1. VPN対応のハードウェアを用意する
    接続方法により、必要なハードウェアは異なります。また、ルーターは接続可能な端末数が決まっているので、端末の数を確認して必要な数のルーターを用意します。
  2. VPNルーターを設置する
    拠点ごとにルーターを設置し、プロトコル、端末のIPアドレス、ユーザーIDとパスワードなどの接続設定を行います。
  3. 端末の接続設定を行う
    VPNに接続する端末側の接続設定を行います。方法はOSにより異なるので、ルーターの説明を必ず確認します。

これらの作業は、拠点の数だけ必要です。そのため、VPNの構築にはある程度のコストや手間がかかります。

VPNのセキュリティを守る仕組み

VPNは、専用のルーターと公衆回線を通じて通信する方法です。安全性を保つために、「トンネリング」「カプセル化」「暗号化」「認証」などの仕組みを利用しています。

  • トンネリング
    送信者と受信者の間に、閉鎖された仮想的な通信経路を構築する仕組みで、トンネルのようなイメージです。外部からのマルウェア侵入や内部からの情報漏洩を防ぐことが可能です。
  • カプセル化
    データをプロトコルでカプセル状に包んで送信する仕組みです。受信者しか開封できないような設定を施すことで、安全性を高めています。
  • 暗号化
    データをカプセル化する前に暗号化します。それによって情報漏洩を防ぐことが可能です。
  • 認証
    ユーザーがVPNを利用する権限を持っていることを確認するための認証です。多要素認証や電子証明書などの複雑な仕組みを使うこともありますが、シングルサインオン(SSO)でセキュリティを確保しながら認証を容易にする場合もあります。

VPN利用に伴うセキュリティリスクと事例

VPNをいれるだけで100%安全というわけではありません。次のようなセキュリティ上のリスクもあります。

  • VPN機器の脆弱性
    VPN機器のファームウェアに脆弱性が残っていれば、そこをついたサイバー攻撃が発生します。ファームウェアのアップデートを行うことで防げる問題ですが、これまでにかなり大きな被害が発生しています。
  • テレワーク端末のマルウェア感染
    テレワークでは、従業員の私物の端末が利用される(BYOD)こともよくあります。BYODでは、セキュリティツールがインストールされていなかったり、データがアップデートされていなかったりして、安全性が低い状態の端末も多いものです。セキュリティ対策の十分でない端末がマルウェアに感染して、そのままVPNに接続してくると、社内ネットワークにマルウェアが広がってしまいます。
    BYODについては以下の記事もあわせてご参照ください。
関連記事 BYODとは?活用のメリット・デメリット、導入や運用するポイントを解説

BYODとは?活用のメリット・デメリット、導入や運用するポイントを解説

  • 無料のVPNやWi-Fiなどの公衆回線の利用によるリスク
    最近は無料のVPNやWi-Fiを提供している施設も増えています。しかし、そのような回線では十分なセキュリティ対策が行われていないことも多く、安全性が高いとはいえません。そこから情報漏洩や不正アクセスが発生することも多いのです。
    VPN接続に限らず、リモートアクセスでのセキュリティリスクについては、以下の記事をご参照ください。
関連記事 リモートアクセス環境でのセキュリティリスクとは?対策や接続方法を紹介

リモートアクセス環境でのセキュリティリスクとは?対策や接続方法を紹介

VPNを利用していても起こったセキュリティ事故の事例

VPNを利用していても起こったセキュリティ事故の事例を紹介します。

事例1:不正アクセスによる個人情報や企業機密情報の流出
国内の大手総合電機メーカーでは、第三者からのサイバー攻撃によって自社の保有する個人情報と企業機密が外部に流出しました。原因は、VPNの脆弱性と、それを修正するためのセキュリティパッチが適用されていなかったことです。
漏洩した情報には、社内の機密情報、採用活動の応募者の個人情報、従業員の個人情報、取引先の情報などがあり、防衛省のデータファイルも含まれていたことがわかっています。

事例2:サイバー攻撃による職員IDの流出
ある私立大学では、利用するVPNの脆弱性をついた不正侵入により、職員のIDなどがインターネット上に流出しました。この脆弱性については世界的に話題になっていましたが、この大学では気づかずに放置されていたのです。

VPNの安全性を高めるためのセキュリティ対策

VPNを安全に利用するためにとるべき対策をいくつか紹介します。

  • VPNサーバーの認証を強化する
    不正アクセスを防ぐには、認証を強化する必要があります。ログインIDやパスワードだけでなく、顔認証やスマートフォンでの認証などを組み合わせた多要素認証にすればより安全です。
  • ファームウェアの更新
    ルーターなどのVPN機器に脆弱性が発見されれば、メーカーやベンダーがファームウェアの更新を行います。安全性を高めるためには、速やかにファームウェアを更新する(セキュリティパッチを適用する)ことが重要です。
  • 運用管理や保守の徹底
    VPNやモバイル端末の管理、BYODの認証、モバイルワークでのルール制定など、社内ネットワークをより安全に使うためのルールづくりと運用管理を行います。
    BYODに関するセキュリティ対策については、以下の記事をご参照ください。
関連記事 BYODを導入する際のセキュリティ対策とは?運用面でのポイントを紹介

BYODを導入する際のセキュリティ対策とは?運用面でのポイントを紹介

  • 定期的にセキュリティ情報を収集する
    VPNの脆弱性やファームウェアの更新など、セキュリティに関する情報や被害事例を日ごろからチェックしておきます。
  • ユーザーへの教育
    VPNを利用するユーザーである従業員にセキュリティ教育を行い、スキルと意識の向上を図る必要があります。人為的ミスは、情報漏洩の主な原因のひとつだからです。

このように、VPNを安全に利用するためにもセキュリティ対策は大切です。

VPNを安全に利用するためには、セキュリティ対策を確実に行おう

VPNは数あるリモートアクセス方法のうちの一つですが、構築の際には手間もコストもかかります。その分、安心感は得られるかもしれませんが、VPNを構築しただけでセキュリティ対策ができたとはいえません。VPNの脆弱性は比較的知れ渡っているので、逆に危ないという見方もできるのです。VPNであっても、しっかりしたセキュリティ対策は必要です。

もっと簡単に、かつ低コストで安全な接続を確立したいなら、セキュリティを強化したリモートアクセスツールを導入するとよいでしょう。リモートアクセスサービスの「CACHATTO」なら、「手間をかけられないが、リモートアクセスに十分なセキュリティ対策をしたい」という企業におすすめです。リモートデスクトップやセキュアコンテナなど、さまざまな方法で安全なリモートアクセスを可能にするツールを展開しており、目的に合わせて必要なツールを導入できます。VPN構築も不要で、実現するための手間やコストも軽減できます。詳しくは以下をご参照ください。

CACHATTO(カチャット) | 国内シェアNo.1のテレワークプラットフォーム

CACHATTOに関する資料請求やお問い合わせはこちら。
お気軽にお問い合わせください!

リモートアクセスや製品に関する
お役立ち資料をご用意しています。

お役立ち資料 お役立ち資料ダウンロード

リモートアクセスや製品に関する
様々なご質問にお答えします。

お問い合わせ メールでお問い合わせ
記事一覧に戻る